セキュリティ強化のHTTPヘッダのバックアップ(No.3) - マイクロソフト系技術情報 Wiki

[ トップ ] [ 新規 | 一覧 | 単語検索 | 最終更新 | ヘルプ ]

バックアップ一覧
差分を表示
現在との差分を表示
ソースを表示
セキュリティ強化のHTTPヘッダへ行く。
- 1 (2019-05-16 (木) 16:13:49)
- 2 (2019-05-16 (木) 17:55:54)
- 3 (2019-05-16 (木) 20:29:02)
- 4 (2019-05-17 (金) 09:43:48)
- 5 (2019-05-18 (土) 16:04:22)
- 6 (2020-10-04 (日) 18:58:45)

「マイクロソフト系技術情報 Wiki」は、「Open棟梁Project」,「OSSコンソーシアム .NET開発基盤部会」によって運営されています。

戻る

目次 †

目次
概要
詳細
- 主要なヘッダ
  - X-XSS-Protection
  - X-Content-Type-Options
- セキュリティ強化に役立つヘッダ
参考
- MDN > HTTP

概要 †

昨今、セキュリティ強化のHTTPヘッダが実装されている。

ブラウザ側は、これを見てよりセキュアになるよう挙動を変更する。
（一部、metaタグでページのマークアップに直接ポリシーを設定できる）。

詳細 †

主要なヘッダ †

X-XSS-Protection †

クロスサイトスクリプティング（XSS）に対する
フィルタ機能（ページの読み込みを停止）を強制的に有効にする。

現在のブラウザでは以下を設定することで、X-XSS-Protectionは大枠不要だが、
- 強い Content-Security-Policy をサイトが実装し、
- インライン JavaScript の使用を無効 ('unsafe-inline')にする。

Content-Security-Policyに対応していない古いブラウザでは防御になる。

X-Content-Type-Options †

Content-Typeの自動的判断（sniffing）を止め、合致しない動作を回避する。

セキュリティ強化に役立つヘッダ †

X-Frame-Options / Frame-Options †

内部にページを表示しないように指定

Content-Security-Policy †

特定の種類の攻撃を検知し、影響を軽減するために追加できるセキュリティレイヤ

Public-Key-Pins †

Pre-loaded public key pinning
本物の証明書の公開鍵データのハッシュ値をブラウザにあらかじめ登録し、
ブラウザがTLS接続する際に実際のサーバから送信されてくる証明書の
公開鍵データのハッシュ値と比較して、不正な証明書の利用を検知、防止する機能

HTTP-based public key pinning (HPKP)
サーバからHTTPヘッダでブラウザにPinning情報を通知し登録させる。

参考 †

セキュリティを強化する7つの便利なHTTPヘッダ
https://devcentral.f5.com/s/articles/7http

MDN > HTTP †

X-XSS-Protection
https://developer.mozilla.org/ja/docs/Web/HTTP/Headers/X-XSS-Protection
コンテンツセキュリティポリシー (CSP)
https://developer.mozilla.org/ja/docs/Web/HTTP/CSP
- Content-Security-Policy
  https://developer.mozilla.org/ja/docs/Web/HTTP/Headers/Content-Security-Policy
- Strict-Transport-Security
  https://developer.mozilla.org/ja/docs/Web/HTTP/Headers/Strict-Transport-Security

Tags: :IT国際標準, :通信技術, :IIS, :.NET開発, :.NET Core, :ASP.NET, :ASP.NET MVC